<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>XSS攻击介绍</title>
</head>
<body>
<h1>XSS攻击介绍：</h1>
<p>跨站脚本攻击XSS(Cross Site Scripting)，为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。</p>
<p>恶意攻击者往 Web 页面里插入恶意 Script 代码（我说：插入的过程类似于注入），当用户浏览该页面时，嵌入 Web 里面的 Script 代码会被执行，从而达到恶意攻击用户的目的。</p>
<p>XSS 攻击针对的是用户层面的攻击！</p>
<h1>XSS攻击产生原因及威胁：</h1>
<h2>XSS攻击产生原因:</h2>
<p>HTML 是一种超文本标记语言，通过将一些字符特殊地对待来区别文本和标记，例如，小于符号（<）被看作是 HTML 标签的开始，之间的字符是页面的标题等等。当动态页面中插入的内容含有这些特殊字符（如<）时，用户浏览器会将其误认为是插入了 HTML 标签，当这些 HTML 标签引入了一段 JavaScript 脚本时，这些脚本程序就将会在用户浏览器中执行。所以，当这些特殊字符不能被动态页面检查或检查出现失误时，就将会产生 XSS 漏洞。</p>
<h2>XSS攻击带来的威胁主要有如下几点:</h2>
<p>针对用户：</p>
<ul>
    <li>窃取cookie劫持会话</li>
    <li>网络钓鱼</li>
    <li>放马挖矿</li>
    <li>广告刷流量</li>
</ul>
<p>针对web服务：</p>
<ul>
    <li>劫持后台</li>
    <li>篡改页面</li>
    <li>传播蠕虫</li>
    <li>内网扫描</li>
</ul>
<h1>测试环境</h1>
<h2>1.储存型XSS</h2>
<p>已知该环境为一个留言板界面，可以写入留言并反应到页面</p>
<p>任务：通过XSS攻击使用户进入该页面时弹出警告窗口，警告信息任意。</p>
<h2>2.DOM型XSS</h2>
<p>已知该环境为一个创建链接界面，输入页面网址后创建一个链接，点击改链接可以跳转目标页面。</p>
<p>任务：通过XSS攻击使链接无效，并点击链接弹出警告窗口，警告信息任意。</p>
<h2>3.反射型XSS</h2>
<p>已知该环境为一个输入窗口，输入的信息会反应到页面上。</p>
<p>任务：通过XSS攻击使页面弹出警告窗口，警告信息任意。</p>
</body>
</html>